最近的 Log4j 漏洞事件無(wú)疑為企業(yè)敲響了安全警鐘。如何加強(qiáng)此類(lèi)事件的“防微杜漸”以及開(kāi)源安全的風(fēng)險(xiǎn)治理,成為被廣泛探討的新命題。
夢(mèng)魘: Log4j安全漏洞引發(fā)“至暗時(shí)刻”
2021年年末爆發(fā)的 Log4j 安全漏洞堪稱(chēng)互聯(lián)網(wǎng)歷史上破壞力最驚人的漏洞之一。當(dāng)危機(jī)發(fā)生時(shí),幾乎每家公司都在爭(zhēng)分奪秒地修補(bǔ)該漏洞,許多 IT 人員疲于深夜搶修及應(yīng)急打補(bǔ)丁,防止黑客利用其進(jìn)行攻擊。
根據(jù)統(tǒng)計(jì),有超過(guò)35,863個(gè)開(kāi)源軟件 Java 組件依賴(lài)于 Log4j,意味著超過(guò) 8% 的軟件包里至少有一個(gè)版本會(huì)受此漏洞影響。漏洞在依賴(lài)鏈中越深,修復(fù)步驟就越多。根據(jù)云安全專(zhuān)家評(píng)估,每秒有超過(guò) 1000次利用 Log4j 漏洞的嘗試。有不法分子利用遠(yuǎn)程代碼執(zhí)行漏洞竊取云基礎(chǔ)設(shè)施,部署加密貨幣礦工和勒索軟件。隨著危機(jī)的持續(xù)發(fā)酵,此次 Log4j 漏洞帶來(lái)的損失目前尚無(wú)法準(zhǔn)確評(píng)估。一個(gè)數(shù)字僅作為參考:安聯(lián)財(cái)險(xiǎn)發(fā)布的相關(guān)報(bào)告顯示,中國(guó)每年因網(wǎng)絡(luò)襲擊造成的經(jīng)濟(jì)損失高達(dá) 3996億元。
Log4j2漏洞事件時(shí)間線(xiàn)
12月 9日
Apache Log4j2 被曝出一個(gè)高危漏洞,攻擊者通過(guò) jndi 注入攻擊的形式可以輕松遠(yuǎn)程執(zhí)行任何代碼。該漏洞被命名為 Log4Shell,編號(hào) CVE-2021-44228。隨后官方緊急推出了2.15.0和2.15.0-rc1新版本修復(fù),但依然未能完全解決問(wèn)題。12月12日,安全公司Blumira發(fā)現(xiàn) Log4j 漏洞出現(xiàn)了另外一種攻擊載體,攻擊者可以利用漏洞攻擊那些并不暴露于任何網(wǎng)絡(luò)內(nèi)部系統(tǒng)中的以 localhost 運(yùn)行的服務(wù)。
12月 14日
Apache Log4j2 團(tuán)隊(duì)發(fā)布了Log4j 2.16.0版本,主要修復(fù)第二個(gè)漏洞CVE-2021-45046。
12月 15日
安全公司Praetorian 的研究人員警告說(shuō),為修復(fù)最初的Log4Shell而發(fā)布的Log4j 2.15.0 版存在第三個(gè)安全漏洞。在某些情況下,攻擊者可以利用第三個(gè)漏洞來(lái)竊取敏感數(shù)據(jù)。
12月 17日
Apache軟件基金會(huì)緊急發(fā)布了修補(bǔ)后的2.17.0新版本,并隨后發(fā)布了一個(gè)新補(bǔ)丁。官方承認(rèn)2.16.0版本無(wú)法在查找評(píng)估中妥善防止無(wú)限遞歸,因而易受CVE-2021-45105 攻擊的影響。
12月 22日
工信部網(wǎng)絡(luò)安全管理局通報(bào),暫停國(guó)內(nèi)某公有云廠(chǎng)商作為其網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位,為期6個(gè)月。原因:該廠(chǎng)商在發(fā)現(xiàn)Apache Log4j2組件嚴(yán)重安全漏洞隱患后,未及時(shí)向電信主管部門(mén)報(bào)告,未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理。
IBM 作為全球的軟硬件及服務(wù)提供商,從 12月 11日起就持續(xù)向大中華區(qū)在內(nèi)的全球客戶(hù)和相關(guān)組織發(fā)布對(duì)這個(gè)漏洞的應(yīng)對(duì)措施、受到影響的產(chǎn)品列表以及響應(yīng)的產(chǎn)品補(bǔ)丁信息,并從企業(yè)、產(chǎn)品、咨詢(xún)、安全、云服務(wù)等不同維度給客戶(hù)提供了參考建議。此外,IBM 技術(shù)支持服務(wù)部結(jié)合IBM Security定制化安全解決方案,幫助組織將安全性融入業(yè)務(wù)結(jié)構(gòu),安然度過(guò)不確定性時(shí)期。詳情請(qǐng)?jiān)L問(wèn)(https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/ )
反思:企業(yè)如何提高洞察、降低風(fēng)險(xiǎn)?
Log4j 漏洞事件發(fā)生后,一部分人抨擊項(xiàng)目維護(hù)者未能及時(shí)發(fā)現(xiàn)問(wèn)題。面對(duì)這樣的指責(zé),開(kāi)發(fā)者立即做出回應(yīng),對(duì)抹黑其無(wú)償志愿勞動(dòng)的聲音進(jìn)行反擊。有網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為 Log4j 中的遠(yuǎn)程代碼執(zhí)行漏洞可能需要數(shù)月、甚至數(shù)年時(shí)間才能得到妥善解決。這不禁喚起了大家對(duì)于開(kāi)源軟件開(kāi)發(fā)、付費(fèi)與維護(hù)方式的深切思考:
1. 公司內(nèi)部能否第一時(shí)間獲取安全漏洞消息?
顯而易見(jiàn),獲取消息的時(shí)間越早,就能夠越早對(duì)其進(jìn)行響應(yīng),減少漏洞帶來(lái)的損失。
2. 能否及時(shí)對(duì)漏洞進(jìn)行響應(yīng)?
面對(duì)這樣的突發(fā)事件,系統(tǒng)運(yùn)維團(tuán)隊(duì)和管理團(tuán)隊(duì)都會(huì)經(jīng)歷一次巨大的考驗(yàn)。例如,如何定位問(wèn)題?怎樣對(duì)問(wèn)題進(jìn)行修復(fù)?如何大面積地對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行修復(fù)補(bǔ)丁發(fā)布?如何評(píng)估發(fā)布后的影響?這些問(wèn)題都是管理者應(yīng)該提前考慮到的。
3. 是否對(duì)系統(tǒng)內(nèi)部所使用的軟件進(jìn)行有效的管理和控制?
對(duì)軟件進(jìn)行有效的管理能夠帶來(lái)諸多的好處。首先,能夠定期地對(duì)系統(tǒng)內(nèi)部使用的軟件進(jìn)行安全漏洞審查,及時(shí)地發(fā)現(xiàn)漏洞;同時(shí),在發(fā)現(xiàn)漏洞后能夠快速、精準(zhǔn)地定位漏洞影響到的業(yè)務(wù)及應(yīng)用系統(tǒng),并對(duì)相應(yīng)的漏洞進(jìn)行修復(fù),減少損失。
助力:IBM 技術(shù)支持服務(wù)部在開(kāi)源服務(wù)領(lǐng)域的三大“神器”
作為企業(yè)級(jí)IT服務(wù)的全球領(lǐng)先者,IBM早已涉足開(kāi)源服務(wù)領(lǐng)域,目前已能提供成熟的企業(yè)級(jí)開(kāi)源治理和支持服務(wù)。針對(duì)開(kāi)源支持領(lǐng)域面臨的痛點(diǎn)和挑戰(zhàn),為全行業(yè)提供開(kāi)源運(yùn)維托底、開(kāi)源原廠(chǎng)支持、開(kāi)源治理管控等開(kāi)源解決方案。涵蓋超過(guò)257種開(kāi)源軟件支持服務(wù)(年度更新),為國(guó)內(nèi)一線(xiàn)、二線(xiàn)城市提供7*24類(lèi)似于商業(yè)軟件售后支持的能力,配備超過(guò)200名以上資深和專(zhuān)業(yè)開(kāi)源支持專(zhuān)家,為大中小型金融、企事業(yè)單位提供遠(yuǎn)程、駐場(chǎng)、搶修、重保、巡檢等開(kāi)源支持服務(wù)。
IBM 開(kāi)源洞察平臺(tái)及時(shí)推送開(kāi)源安全漏洞和版本更新信息
IBM 開(kāi)源洞察平臺(tái)聚合了美國(guó)NIST NVD、開(kāi)源基金會(huì)社區(qū)、IBM X-Force安全交換平臺(tái)和公開(kāi)CVE脆弱性漏洞平臺(tái)的相關(guān)安全數(shù)據(jù)?蛻(hù)只要注冊(cè)輸入企業(yè)使用開(kāi)源軟件名稱(chēng)及設(shè)置提醒等級(jí),就可以定期收到和拉取開(kāi)源前瞻性報(bào)告OSPRI(IBM Open Source Proactive Reporting Insight)的郵件通知并告知詳細(xì)修改建議。快速判斷企業(yè)在開(kāi)源軟件已經(jīng)存在的安全問(wèn)題,以及應(yīng)急手段和修復(fù)建議。
IBM 開(kāi)源托底服務(wù)確保漏洞修復(fù)、版本升級(jí)以及各種日常使用問(wèn)題的響應(yīng)
IBM 提供7*24小時(shí)的遠(yuǎn)程支持服務(wù)、國(guó)內(nèi)一線(xiàn)二線(xiàn)城市現(xiàn)場(chǎng)支持服務(wù)。能夠在漏洞和故障發(fā)生后快速地響應(yīng)需求。開(kāi)源專(zhuān)家現(xiàn)場(chǎng)巡檢服務(wù),開(kāi)源故障現(xiàn)場(chǎng)應(yīng)急響應(yīng),開(kāi)源故障現(xiàn)場(chǎng)搶修服務(wù),關(guān)鍵節(jié)假日和重要日期值守,滿(mǎn)足專(zhuān)家快速到場(chǎng)的響應(yīng)需求。
IBM 開(kāi)源治理服務(wù)協(xié)助企業(yè)建立成熟的開(kāi)源治理體系
提供開(kāi)源軟件治理評(píng)估,對(duì)開(kāi)源軟件從軟件引入到退出實(shí)現(xiàn)全軟件生命周期的管理。有效梳理企業(yè)內(nèi)部各系統(tǒng)開(kāi)源軟件的使用情況,幫助客戶(hù)建立開(kāi)源技術(shù)的各項(xiàng)規(guī)定和章程,并幫助企業(yè)制定開(kāi)源使用制度和機(jī)制,提供信通院開(kāi)源治理成熟度評(píng)估預(yù)培訓(xùn)。
結(jié)語(yǔ)
曲突徙薪,防微杜漸
“清池活水”,開(kāi)源生態(tài)的蓬勃發(fā)展為企業(yè)發(fā)展提供了源源不斷的助力,與此同時(shí),也對(duì)企業(yè)的開(kāi)源管理和安全把控能力提出了更高的要求。IBM基于自身的開(kāi)源服務(wù)能力,通過(guò)閉環(huán)開(kāi)源治理、支持、洞察服務(wù)和平臺(tái),能夠免除客戶(hù)在開(kāi)源軟件開(kāi)發(fā)、使用和生產(chǎn)運(yùn)維中的后顧之憂(yōu),從而為客戶(hù)在數(shù)字化轉(zhuǎn)型、業(yè)務(wù)創(chuàng)新以及業(yè)務(wù)連續(xù)性等方面持續(xù)保駕護(hù)航。